Forcepoint Email Security-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Forcepoint Email Security-Logs mit BindPlane in Google Security Operations aufnehmen. Der Parser extrahiert zuerst Felder aus den JSON-formatierten Logs und initialisiert einige UDM-Felder mit leeren Werten. Anschließend werden die extrahierten Felder anhand bestimmter Bedingungen und Datenmanipulationen den entsprechenden Feldern in der Chronicle UDM-Struktur zugeordnet. So wird letztendlich eine einheitliche Darstellung des E‑Mail-Sicherheitsereignisses erstellt.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Ein Windows 2016- oder höher- oder Linux-Host mit systemd
  • Wenn Sie den Agent hinter einem Proxy ausführen, achten Sie darauf, dass die Firewallports gemäß den Anforderungen des BindPlane-Agents geöffnet sind.
  • Privilegierter Zugriff auf die Forcepoint Email Security-Appliance oder die Verwaltungskonsole

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Collection Agent auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.
  4. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profile auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den BindPlane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Windows-Installation

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

  1. Konfigurationsdatei aufrufen:

    • Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
    • Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'FORCEPOINT_EMAILSECURITY'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

  3. Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.

  4. Ersetzen Sie <CUSTOMER_ID> durch die tatsächliche Kundennummer.

  5. Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Dateipfad, in dem die Authentifizierungsdatei in Schritt 1 gespeichert wurde.

BindPlane-Agent neu starten, um die Änderungen zu übernehmen

  1. Führen Sie den folgenden Befehl aus, um den BindPlane-Agent unter Linux neu zu starten:

    sudo systemctl restart observiq-otel-collector

  2. Um den BindPlane-Agenten in Windows neu zu starten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:

    net stop observiq-otel-collector && net start observiq-otel-collector

Syslog-Weiterleitung in Forcepoint Email Security konfigurieren

  1. Melden Sie sich in der Forcepoint Email Security Management Console an.
  2. Rufen Sie die Einstellungen > Integrationen > SIEM-Integration auf.
  3. Klicken Sie auf SIEM-Integration aktivieren.

  4. Geben Sie die folgenden Konfigurationsdetails an:

    • Format: Wählen Sie LEEF (Log Event Extended Format) aus.
    • Syslog-Server: Geben Sie die IP-Adresse des BindPlane-Agents ein.
    • Syslog-Port: Geben Sie die Portnummer des BindPlane-Agents ein (z. B. 514).
    • Protokoll: Wählen Sie je nach Ihrer tatsächlichen BindPlane Agent-Konfiguration UDP oder TCP aus.
    • Einrichtung: Wählen Sie den Syslog-Einrichtungscode aus, z. B. Local0.
    • Schweregrad: Wählen Sie den Schweregrad für Logereignisse aus.

  5. Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Aktion security_result.action_details Direkt aus dem Feld „Action“ (Aktion) im Rohlog zugeordnet.
AttachmentFilename additional.fields.value.list_value.values.string_value (key: Attachments_FileNames) Das Feld „AttachmentFilename“ wird durch Kommas getrennt und jeder Wert wird dann als „string_value“ dem Array „additional.fields“ mit dem Schlüssel „Attachments_FileNames“ hinzugefügt.
AttachmentFileType additional.fields.value.list_value.values.string_value (key: AttachmentsFileType) Das Feld „AttachmentFileType“ wird durch Kommas getrennt und jeder Wert wird dann als „string_value“ dem Array „additional.fields“ mit dem Schlüssel „AttachmentsFileType“ hinzugefügt.
AttachmentSize additional.fields.value.list_value.values.string_value (key: AttachmentsSize) Das Feld „AttachmentSize“ wird durch Kommas getrennt und jeder Wert wird dann als „string_value“ dem Array „additional.fields“ mit dem Schlüssel „AttachmentsSize“ hinzugefügt.
Datum/Uhrzeit Nicht in der bereitgestellten UDM zugeordnet.
EnvelopeSender network.email.from Direkt aus dem Feld „EnvelopeSender“ im Rohlog zugeordnet.
EventReceivedTime metadata.event_timestamp Wird in ein Zeitstempelformat geparst und „metadata.event_timestamp“ zugeordnet.
FilteringReason security_result.category_details Direkt aus dem Feld „FilteringReason“ im Rohlog zugeordnet.
MessageSandboxing security_result.detection_fields.value (Schlüssel: MessageSandboxing) Direkt aus dem Feld „MessageSandboxing“ im Rohlog zugeordnet und als Schlüssel/Wert-Paar dem Array „security_result.detection_fields“ hinzugefügt.
MessageSize security_result.detection_fields.value (key: MessageSize) Direkt aus dem Feld „MessageSize“ im Rohlog zugeordnet und als Schlüssel/Wert-Paar dem Array „security_result.detection_fields“ hinzugefügt.
nxlog_filename additional.fields.value.string_value (Schlüssel: nxlog_filename) Direkt aus dem Feld „nxlog_filename“ im Rohlog zugeordnet und als Schlüssel/Wert-Paar dem Array „additional.fields“ hinzugefügt.
RecipientAddress network.email.to Direkt aus dem Feld „RecipientAddress“ im Rohlog zugeordnet.
SenderIP principal.asset.ip, principal.ip Direkt aus dem Feld „SenderIP“ im Rohlog zugeordnet.
SenderIPCountry principal.location.country_or_region Direkt aus dem Feld „SenderIPCountry“ im Rohlog zugeordnet.
SourceModuleName principal.resource.attribute.labels.value (Schlüssel: SourceModuleName) Direkt aus dem Feld „SourceModuleName“ im Rohlog zugeordnet und als Schlüssel/Wert-Paar dem Array „principal.resource.attribute.labels“ hinzugefügt.
SourceModuleType principal.resource.attribute.labels.value (Schlüssel: SourceModuleType) Direkt aus dem Feld „SourceModuleType“ im Rohlog zugeordnet und als Schlüssel/Wert-Paar dem Array „principal.resource.attribute.labels“ hinzugefügt.
SpamScore security_result.detection_fields.value (Schlüssel: SpamScore) Direkt aus dem Feld „SpamScore“ im Rohlog zugeordnet und als Schlüssel/Wert-Paar dem Array „security_result.detection_fields“ hinzugefügt.
Betreff network.email.subject Direkt aus dem Feld „Betreff“ im Rohlog zugeordnet.
VirusName security_result.detection_fields.value (Schlüssel: VirusName) Direkt aus dem Feld „VirusName“ im Rohlog zugeordnet und als Schlüssel/Wert-Paar dem Array „security_result.detection_fields“ hinzugefügt.
metadata.event_type Der Wert wird anhand des Vorhandenseins anderer Felder bestimmt. Wenn „has_network_email_data“ auf „true“ gesetzt ist, wird der Wert auf „EMAIL_TRANSACTION“ festgelegt. Wenn „has_principal“ „true“ ist, wird der Wert auf „STATUS_UPDATE“ gesetzt. Andernfalls wird standardmäßig „GENERIC_EVENT“ verwendet.
metadata.product_name Der Wert wird auf „FORCEPOINT EMAILSECURITY“ festgelegt.
metadata.vendor_name Der Wert wird auf „FORCEPOINT EMAILSECURITY“ festgelegt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten